问

EIA(ucenter）做三层portal无感知

1天前提问

0关注
0收藏，61浏览

zhiliao_v6mAqN

zhiliao_v6mAqN 二段

粉丝：0人关注：4人

问题描述：

EIA做三层portal无感知，认证正常，就是查看在线用户时候mac地址为全0，IP地址正常

2 个回答

按时间按赞数

有飞不起的鸟

有飞不起的鸟六段

粉丝：9人关注：0人

1.
三层路由与MAC地址特性：
- •在二层网络中，设备之间通信依靠MAC地址，报文中的源MAC就是终端的MAC。
- •在三层网络中，终端设备（如PC、手机）与Portal网关、认证服务器之间的通信是IP路由。当终端发送认证报文时：
  - •源IP是终端的IP（所以EIA上看到的IP是对的）。
  - •但源MAC地址，在经过路由器或三层交换机后，会被替换为最后一跳路由设备接口的MAC地址。终端原始的MAC地址在此过程中丢失了。
2.
EIA的困境：
- •EIA默认从收到的RADIUS认证请求报文中的源MAC地址字段获取用户MAC。
- •在三层环境下，它只能拿到路由器的MAC，而不是终端的MAC。如果EIA或接入设备没有采用其他机制来传递真实MAC，EIA就会无法获取，从而显示为全0（00-00-00-00-00-00）。

解决方案：通过ARP机制主动探测（推荐方案）

这是解决此问题最常用且有效的方法。其原理是：EIA利用已知的用户IP地址，主动发送ARP请求到网络中，去解析该IP对应的MAC地址。

以下是配置步骤（基于H3C EIA系统）：

1.
登录EIA管理后台：使用imcadmin账户登录。
2.
进入接入策略管理：
- •导航到 “用户” -> “接入策略管理” -> “接入设备管理”。
3.
编辑或新增接入设备：
- •找到并编辑您三层Portal认证场景中的接入设备（通常是核心交换机或防火墙，即与EIA交互RADIUS报文的那台设备）。
- •在接入设备配置页面中，找到 “ARP探测” 或 “MAC探测” 相关选项。
4.
启用并配置ARP探测：
- •勾选“启用ARP探测”。
- •探测IP地址范围：这里需要填写用户获取IP地址的网段。例如，如果用户的IP地址是 192.168.10.0/24，您就需要将此网段填入。
- •探测VLAN（可选）：如果网络结构复杂，可以指定用户所在的VLAN。
- •其他参数：如探测超时时间、尝试次数等，一般保持默认即可。
5.
保存并生效：
- •保存接入设备的配置。
- •为了使配置生效，您可能需要重启EIA服务中的 imcradius 服务（在iMC的“部署监控代理”中操作）。

工作原理：
当用户完成认证上线后，EIA会看到有一个IP地址 192.168.10.100 在线但MAC未知。它会立即向网络发送一个ARP请求：“谁的IP是 192.168.10.100？请告知你的MAC地址”。用户的终端设备会响应这个请求，EIA从而获取到正确的MAC地址并更新到在线用户列表中。

其他辅助方案和排查点

1.
检查接入设备配置（交换机/路由器）：
- •确保您的网络设备（作为RADIUS客户端）上配置了正确的NAS-Port-Type、NAS-IP-Address等参数。
- •有些厂商的设备支持通过Vendor-Specific Attribute (VSA) 在RADIUS请求中将用户的MAC地址传递给服务器。请检查您的接入设备是否支持并启用了此功能（例如H3C设备的相关属性）。但这需要EIA和网络设备双方都支持并正确配置，通用性不如ARP探测。
2.
检查EIA的MAC更新策略：
- •在EIA中，进入 “用户” -> “接入策略管理” -> “系统配置” -> “MAC更新配置”。
- •确保策略是启用的，并且更新方式合理。这可以配合ARP探测工作，确保MAC地址被持续更新。
3.
网络连通性：
- •确保EIA服务器能够路由到用户所在的IP网段。如果EIA和用户不在同一个广播域，且中间有防火墙，需要放通EIA发起的ARP请求和回复。